Neue Marktchancen für Managed Security Services

von Ulrike Wendel (ulrike.wendel@crn.de)

Share
26.11.2009

Managed Security Services (MSS) zeichnen sich vor allem durch eine transparente Kostenstruktur und den Verzicht auf hohe Anfanginvestitionen aus. Analysten prophezeien dem flexiblen Geschäftsmodell angesichts von Konjunkturkrise und Investitionsstau ein überdurchschnittliches Wachstum – vor allem im ressourcenschwächeren Mittelstand.

Der allgemeinen Konjunkturkrise zum Trotz erfreut sich der Markt für IT-Sicherheitslösungen weiterhin eines stabilen, wenn auch moderaten, Wachstums. Damit ist diese Branche Analysten zufolge vom derzeitigen Investitionsstau am schwächsten betroffen. Das Marktforschungsinstitut Forrester rechnet bis Ende 2009 sogar mit leicht steigenden Investitionen in Unternehmenssicherheit: So planen große Unternehmen in Nordamerika und Europa, 2009 rund 12,6 Prozent des gesamten IT-Budgets für Security auszugeben, verglichen mit 11,7 Prozent im Vorjahr. Bei den kleinen und mittleren Unternehmen soll der Anteil von 9,1 Prozent auf 10,1 Prozent steigen.

Dreh- und Angelpunkt dieses Trends sind Managed Security Services (MSS). Lange als Hype-Thema gehandelt, haben sich externe Sicherheitsdienstleistungen längst als ernstzunehmende und lukrative Alternative zur klassischen IT-Security etabliert. Laut einer aktuellen Befragung der Experton Group von Unternehmen mit mehr als 100 Mitarbeitern geben rund 40 Prozent der Befragten an, ihre IT-Security komplett oder teilweise auszulagern – Tendenz steigend. Angesesichts der unsicheren Wirtschaftslage korrigiert Experton-Berater Wolfram Funk die Wachstumsraten zwar auch für Managed Security Services etwas nach unten, beziffert sie aber dennoch auf knapp unter zehn Prozent: »Im Vergleich zu anderen Segmenten ist das eine gute Aussicht.«

Die beiden zentralen Argumente für das MSS-Modell gewinnen angesichts der finanziellen Situation vieler Unternehmen stark an Bedeutung: Kostendruck und der Mangel an Fachkräften mit speziellem IT-Sicherheitswissen. So können Unternehmen beim MSS-Modell hohe Kosten für zusätzliches Personal und Spezialwissen einsparen und gleichzeitig wirtschaftliche Schäden vermeiden, die durch ungesicherte ITInfrastrukturen entstehen können. In Zeiten von Liquiditätsproblemen liegt der Reiz von MSS-Angeboten damit nicht nur in den Ersparnissen beim Personal, sondern vor allem in den überschaubaren und flexiblen Abrechnungsmodellen wie der monatlichen Lizenzpauschale.

Kunden haben die Wahl

»Viele Partner haben sich auch deswegen für uns entschieden, weil wir über unser gesamtes Portfolio hinweg Managed Security Services ermöglichen.« Wieland Alge, CEO von Phion

Die Sicherheitsdienstleistungen selbst gibt es in ganz unterschiedlichen Spielarten: Häufig legen Unternehmen die Verantwortung für einzelne Sicherheitsaufgaben oder – weitaus seltener – ihre gesamte Sicherheitsinfrastruktur in die Hände von Herstellern oder Dienstleistern. Diese bieten neben Risikobewertung ein breites Portfolio an Security-Produkten und -Services an. Zum Leistungsspektrum gehören sowohl standardisierte Dienste wie Firewall- Management, E-Mail- und Webfiltering als auch Konfiguration, Reporting und Intrusion Detection sowie Virenschutz und VPN-Sicherung. Die notwendige Hard- und Software befindet sich dabei meistens beim Kunden, während Management, Wartung und Updates vom Dienstleister übernommen werden. »Diese Form der Managed Security Services ist mittlerweile recht weit verbreitet«, so Funk. Die komplette Auslagerung an Dienstleister sei dagegen erst langsam im Kommen. Bisher nur sehr zaghafte Verbreitung finden dem Analysten zufolge sogenannte Shared Security Services. Bei diesen »Services- in-the-Cloud« wird dem Kunden kein eigenes System mehr zugewiesen, stattdessen teilt er sich die Anwendungen mit anderen Unternehmen, die nur noch virtuell voneinander getrennt sind. »Das setzt eine Menge Risikofreude und Vertrauen in neue Technologien voraus«, erklärt Funk die bisherige Zurückhaltung der Unternehmen vor allzu innovativen Themen. Aber die Offenheit bei Unternehmen steigt, wie auch Matthias Rosche, Direktor Consulting bei Integralis, feststellt: »Wir sehen zwar keine sprunghaft gestiegene Nachfrage nach MSS, aber ein deutlich stärkeres Interesse als an klassischen Projekten.«

Hersteller und Partner sehen die wirtschaftliche Situation folgerichtig auch als Chance, Managed Security Services stärker im Markt zu etablieren. Dennoch ist das Thema beileibe kein Selbstläufer. Aktuell steigt bei Unternehmen zwar der Kostendruck und mit ihm der Zwang zu Einsparungsmaßnahmen. Gleichzeitig wachsen aber auch das Risikobewusstsein und die Angst vor Experimenten. »Hersteller und Partner können nicht einfach zum Kunden sagen: Alles, was sie bisher im klassischen Betrieb laufen hatten, stellen wir nun auf kostengünstige Managed Services um«, sagt Christoph Skornia, Technical Manager Zentraleuropa beim Security- Hersteller Check Point. »Der Kunde muss beim Wechsel auf MSS darüber hinaus einen klaren Vorteil für seine Geschäftsprozesse erkennen«. Dies sei beispielsweise bei Konsolidierungen der Fall, die häufig komplexere Infrastrukturen und höhere Kosten nach sich zögen. Hier würden Synergien durch Managed Security Services besonders deutlich. »Viele Betriebe nehmen die Krise zum Anlass, um ihre Prozesse zu hinterfragen und mit neuen Ansätzen Kosten zu reduzieren«, bestätigt Funk. Rückenwind bekommt das MSS-Modell offenbar auch von der überwiegend positiven Resonanz aus dem Markt. »Nahezu alle von uns befragten Unternehmen bewerten die Leistungen von MSS-Dienstleistern als gut oder sehr gut«, so der Analyst.

Prozesse hinterfragen und Kosten reduzieren

»Wir sehen zwar keine sprunghaft gestiegene Nachfrage nach MSS, aber ein deutlich stärkeres Interesse als an klassischen Projekten.« Matthias Rosche, Direktor Consulting bei Integralis

Neben der Qualität der Services spielt auch das Vertrauen zum Dienstleister eine entscheidende Rolle. »Es gibt sehr unterschiedliche Grade, was der Kunde herausgeben kann und vor allem will«, sagt Frank Fischer, Leiter Sicherheitslösungen bei IBM. »Kleine und mittlere Unternehmen sind für das Thema prinzipiell sehr empfänglich, bevorzugen aber die Zusammenarbeit mit dem Dienstleister ihres Vertrauens.« IBM, nicht gerade als Channel-Company bekannt, bündelt im Rahmen seines IBM Express Advantage-Portfolios für den Mittelstand auch Security-Leistungen, die der Hersteller zwar selbst betreibt, aber ausschließlich über Reseller vertreibt. Sieht man von massentauglichen und mittlerweile standardisierten Diensten wie E-Mail-Filtering ab, sind vor allem die Partner vor Ort gefragt, beim Kunden das Vertrauen in zusätzliche Dienste zu erzeugen. Obwohl große Hersteller wie Symantec oder IBM Managed Security Services auch direkt anbieten, sind Systemhäuser und Dienstleister mit MSS-Expertise besonders bei kleinen und mittleren Unternehmen klar im Vorteil: »Mittelständischen Kunden fehlt es meistens, neben großen Budgets, an Security-Fachwissen«, sagt Detlef Heinzig, Geschäftsführer beim Egelsbacher Systemhaus Com-Sys. »Es ist unsere Aufgabe, neue Themen aktiv heranzutragen und Überzeugungsarbeit zu leisten.«

Hersteller forcieren und unterstützen das Engagement der Partner ihrerseits mit speziellen Management-Konsolen und MSS-fähigen Produkten, wie beispielsweise Astaro. Mit dem »Astaro Command Center« gibt der Sicherheitsanbieter seinen Partnern ein Werkzeug an die Hand, mit dem diese viele Kunden gleichzeitig betreuen können. Der UTMSpezialist bietet sein Management-Tool auch als einfach zu verwaltende Hardware- Appliance an. Der Tiroler Security- Spezialist Phion hat sogar sein Geschäftsmodell auf diesem Gedanken aufgebaut. »Viele Partner haben sich auch deswegen für uns entschieden, weil wir über unser gesamtes Portfolio hinweg Managed Security Services ermöglichen «, so Phion-CEO Wieland Alge. Nutzen für Reseller ist umstritten Rosige Aussichten also für alle Beteiligten? Bei genauerem Hinhören mischen sich auch kritische Stimmen in die Lobesreden. So gibt Experton-Analyst Funk mit Blick auf den Channel zu bedenken, dass die Rolle der Reseller in der Weiterentwicklung von Managed Services zu Services-in-the-Cloud mehr als ungewiss ist. Andere bezweifeln einen überdurchschnittlich großen Umsatzzuwachs im Security-Umfeld und sehen eher eine Verlagerung der Geschäfte. »Es bleibt abzuwarten, ob sich klassische Sicherheitslösungen und Managed Security Services möglicherweise kannibalisieren«, dämpft Christoph Skornia von Check Point die Euphorie über die Umsatzhoffnung Managed Security Services.